|
|
谷歌在SSL web加密发现漏洞“狮子狗”袭击的细节修复。远程控制软件,灰鸽子下载
谷歌的研究人员已经发现了一个漏洞在一个版本的SSL(安全套接字层)网络加密协议,允许攻击者打破其密码安全。
SSL协议创建一个客户端和服务器之间的安全连接使用两个密钥,一个公开和一个私人——将私人文件,并可见“https”互联网浏览器的URL前缀。
3.0版本问题,SSL,几乎是15岁但仍广泛被几乎所有的网络浏览器所支持。
明显,SSL 3.0还经营作为一个后备的选择当浏览器试图解决在HTTPS服务器错误。
谷歌安全研究员博多穆勒今天透露,攻击者可以触发使用SSL 3.0和利用新发现的漏洞导致连接失败和强迫浏览器重试连接旧的协议版本。
“我们的贵宾犬攻击(Padding Oracle下调遗留加密)将允许他们,例如,偷“安全”HTTP cookie(或其他bearertokens如HTTP授权页眉内容),”他在一个顾问。
穆勒说禁用SSL 3.0支持在客户端和/或服务器足以解决这个问题但是承认它将出现严重的兼容性问题。
“因此,我们的建议的反应是支持TLS_FALLBACK_SCSV。这是一个机制,解决了问题重新尝试连接失败造成的,因此可以防止攻击者诱导3.0浏览器使用SSL,”他在一篇博客文章中写道。
“它还阻止降级TLS 1.2到1.1或1.0,所以可能帮助防止未来的攻击。”
穆勒表示,谷歌的Chrome浏览器支持TLS_FALLBACK_SCSV自2月份以来,和公司“好证据”可以使用没有兼容性问题。
谷歌Chrome也开始测试变化,禁用回退至3.0 SSL从今天起,他说。他预计变化打破一些网站,这将需要更新“迅速”。
穆勒表示,谷歌计划将支持SSL 3.0完全从客户的产品“在未来几个月”。
内容交付网络和域名服务器提供商CloudFlare迅速宣布禁用SSLv3在其网络默认为所有客户。
Mozilla Firefox的主人说SSL在Firefox 3.0将被默认为禁用34岁,定于11月下旬发布。该公司表示Firefox 3.0目前使用SSL HTTPS连接的0.3%左右。
“这是一小部分,但是由于网络的大小,它仍然每天数以百万计的交易,”该公司在一篇博客文章中写道。
Mozilla表示,将另外提供SCSV TLS下调保护机制在Firefox 35岁,并鼓励Firefox用户,确保他们的浏览器被配置为自动更新。
“用户不想等到11月25日(默认情况下禁用SSLv3时在Firefox 34),我们已经创建了SSL版本控制Firefox扩展禁用SSLv3立即。”
这不是第一次SSL 3.0被发现是容易受到攻击——安全问题涉及协议版本提高了无数次。 |
|
加载中...
发表于 2014-10-15 10:08:32
发表于 2014-10-29 18:54:14